Der "AI Act" aus wissen­schaft­licher Sicht

26. Juli 2024 um 08:35
image
Grafik: Planet Volumes / Unsplash+

Expertinnen und Experten von der Berner Fachhochschule haben den "AI Act" der EU unter die Lupe genommen. Sie sagen, was an dem neuen Gesetz gut, und was schlecht ist.

Die Europäische Union (EU) hat das weltweit erste Gesetz zur Re­gu­lie­rung von Künstlicher Intelligenz (KI): Bereits im März hat das EU-Par­la­ment dem Gesetzesvorschlag der Kommission zugestimmt, nun wird der "AI Act" auf den 1. August in Kraft treten. Dieser will die Brücke zwischen der innovationsfördernden Nutzung von KI einerseits, und dem Grundrechtsschutz auf Privatsphäre der Bürgerinnen und Bürger anderseits schlagen – keine einfache Aufgabe.

Was will der EU AI Act?

Nach der Verabschiedung durch das EU-Parlament im März dieses Jahres ging alles erstaunlich schnell: Bereits am 1. August wird der "AI Act" in Kraft treten. Firmen haben ab dann ein bis zwei Jahre Zeit, um ihre Technologien und Prozesse anzupassen.
Das weltweit erste und in seiner Form einzigartige KI-Gesetz auf horizontaler Ebene umfasst 85 Artikel (und neun Annexe), welche Rahmenbedingungen für das Inverkehrbringen von KI-Technologien festlegen und diese teilweise verbieten.
Dabei geht es darum, das Innovationspotenzial von KI-Technologien nicht zu hemmen (sondern im Gegenteil, "gute" Innovationen zu fördern) – aber gleichzeitig auch darum, die Grundrechte der Bürgerinnen und Bürger zu schützen. Das ist ein heikler Balanceakt. Denn einerseits will die EU in Bezug auf neue Technologien wettbewerbsfähig bleiben (vor allem im Wettrennen mit den USA), andererseits können KI-Technologien das Recht auf Privats­phäre und die freie Meinungsbildung gefährden sowie gesellschaftliche Ungleichheiten zementieren oder gar verstärken (KI-Bias).

Risikobasierter Ansatz

Deshalb unterscheidet das KI-Gesetz zwischen verschiedenen Risiko-Stufen. Der "AI Act" teilt KI-Systeme basierend auf Risiken in eine von vier Kategorien ein (siehe Abbildung) und reguliert insbesondere Hochrisiko-Systeme, sowie sogenannte General Purpose AI (GPAI) Modelle wie bei­spiels­­weise GPT-4, Dall-E oder Bert. Als potenziell hoch risikoreich eingestuft werden bei­spiel­sweise KI-Technologien zur Verarbeitung von biometrischen Daten (Stichwort Gesichtserkennung), in der Strafverfolgung und im Asyl- und Grenz­kontroll­management, sowie Software zur Bewertung von Kredit­würdig­keit oder zur Benotung von Schülerinnen und Schülern. Die Logik dahinter: Je risiko­be­haf­teter eine KI-Technologie ist, desto höher die Anforderungen an sie. Somit ist das Gesetz vergleichbar mit anderen Marktzugangsgesetzen, die den Import von Medikamenten, Lebensmitteln oder Elektrogeräten regulieren und an Sicherheits- und Gesundheitsvorschriften knüpfen.
image
Risikostufen für KI-Systeme Grafik: Europäische Kommission

Regulierung von Hochrisiko-KI- und GPAI-Systemen

In die rote Kategorie der verbotenen Hochrisiko-KI-Technologien fallen KI-Tools, welche Werbung für vulnerable Personen wie Kinder oder Seniorinnen und Senioren beinhalten sowie Menschen generell "unterschwellig beeinflussen". Unter diese Kategorie könnten Smart-Home-Tools fallen, die anhand von Biometrik (z.B. der Stimme) einen Gemütszustand einordnen und dies für Produktwerbung nutzen können.
Dazu ist auch "Social Scoring" verboten, also die Klassifizierung von Bürgerinnen und Bürgern durch KI-Überwachung. Zu guter Letzt ist auch die KI-basierte Gesichtserkennung (sogenannte "Echtzeit-Fern­identifizierungs­systeme") nicht erlaubt, wobei es hier Ausnahmen gibt (beispielsweise für die Suche nach vermissten Kindern oder zur Terrorvermeidung). Dafür ist aber, ähnlich wie bei einer Hausdurchsuchung, vorgängig grünes Licht bei der zuständigen Justizbehörde einzuholen.
Die orange Kategorie betrifft die erlaubten, aber regulierten Hochrisiko-KI-Technologien. Diese Liste ist lang und unübersichtlich: Sie umfasst Systeme für Produkte, die ihrerseits Import- und Produktionsvorschriften unterliegen oder gemäss EU-Recht harmonisiert sind.
Anbieter und Betreiber von erlaubten Hochrisikosystemen müssen eine Vielzahl von Anforderungen erfüllen, bevor diese auf den Markt gebracht werden dürfen: Sie müssen beispielsweise eine ausführliche technische Dokumentation erstellen und ihre Systeme müssen Log-Daten generieren, welche eine Nachvollziehbarkeit der Ein- und Ausgaben ermöglichen. Weiter muss jedes Hochrisiko-System durch einen Menschen beaufsichtigt werden.
Ähnlich werden neu auch Anbieter von GPAI-Modellen reguliert. Diese müssen eine aktuelle technische Dokumentation, Richtlinien für die Einhaltung von Urheberrecht und eine Beschreibung für die beim Training verwendeten Daten vorlegen können.

Ausnahmen für Open-Source-KI-Systeme

Spannende Ausnahmen im Gesetz gibt es für Open-Source-KI-Systeme. So fallen KI-Systeme, die unter einer Open-Source-Lizenz veröffentlicht werden, nicht unter die Regulierung, ausser es handelt sich um eine verbotene KI-Praxis, um ein Hochrisiko-KI-System oder um ein System, welches direkt mit natürlichen Personen interagiert.
Für GPAI-Modelle, welche unter einer Open-Source-Lizenz veröffentlicht werden, gilt eine ähnliche Ausnahme. Hier müssen jedoch die Gewichte (weights/parameters), Modellarchitektur sowie Information über die Modellnutzung öffentlich zugänglich sein. Diese Ausnahme gilt nicht für GPAI-Modelle mit einem systemischen Risiko.

Technologieneutralität und Beständigkeit…

Der "AI Act" hat sehr viele positive Punkte: Der risikobasierte Ansatz und der breite Geltungsbereich machen die Regulierung technologieneutral, unabhängig von technologischen Entwicklungen. Dadurch fallen Systeme, die in der Zukunft entwickelt und in einem der regulierten Bereiche eingesetzt werden, automatisch auch darunter. Ähnlich breit gefasst ist auch die Definition von GPAI-Systemen, so dass künftig auch Modell-Modalitäten darunterfallen, die über Text, Bild oder Video hinausgehen. Zudem ist die Kommission befugt, die Hochrisiko-Kategorie zu erweitern, was dem Gesetz einerseits Flexibilität für Technologieentwicklungen gibt, andererseits aber auch zu einer Machtkonzentration führt.

… aber grosser Einschnitt in die Wirtschaftsfreiheit

Gleichzeitig enthält der "AI Act" viele allgemein gehaltenen Vorgaben (und Ausnahmen davon), welche in der Praxis erst noch interpretiert werden müssen. So sind zwar öffentliche Gesichtsüberwachungssysteme verboten. Die Identifizierung nach der Aufnahme ist jedoch möglich, auch bereits bei einem blossen Verdacht auf eine Straftat. Für Anbieter von Hochrisiko-KI-Technologien ist das Gesetz einschneidend, da es viele neue Anforderungen beinhaltet. Dabei ist wichtig, dass es nicht nur Anbieter mit Sitz in der EU betrifft, sondern nach dem Marktortprinzip auf den Ort des Vertriebs abgestellt ist. Dies wird, ähnlich wie bei der Datenschutzgrundverordnung, faktisch auch Schweizer Anbieter betreffen.
Bemerkenswert ist auch, dass der "AI Act" – im Gegensatz zu vielen anderen Gesetzen – nicht zahnlos ist: Er sieht ein Überwachungsgremium und Bussen bei Verstössen vor.

Fazit

Der "AI Act" der EU reiht sich ein in die Tradition der Marktzutrittsgesetze, die Bürgerinnen und Bürger vor potenziell schädlichen Auswirkungen schützten soll, auch wenn dies Abstriche auf der Seite der Wirtschaftsfreiheit bedeutet. Noch steckt das Gesetz in den Babyschuhen. Seine Wirksamkeit zeigt sich erst bei den ersten Schritten. Auf den ersten Blick scheint das Gesetz einen nuancierten und angemessenen Regulierungsansatz zu versprechen, der mit seinen tech­no­logie­neutralen Formulierungen Beständigkeit hat und zum Grundrechtsschutz der Bürgerinnen und Bürger beiträgt. Die Ausnahmen für Open-Source-KI-Systeme und die weiteren Regeln für Innovations- und Startup-Förderung sind vielversprechend und könnten zu einem weiteren Wachstum dieses Open-Source-KI-Ökosystems führen.
Abzuwarten bleibt, wie sich der "AI Act" in der Umsetzung bewährt, und wie stark die Systeme nach Ablauf der Übergangsfristen kontrolliert werden.

Zur Autorenschaft:

Der Artikel wurde von Marcel Gygli, Professor für KI im Öffentlichen Sektor, Rika Koch, Professorin für Öffentliche Beschaffungen, und Matthias Stürmer, Leiter Institut Public Sector Transformation, verfasst. Sie alle sind am Institut Public Sector Transformation des Departements Wirtschaft der Berner Fachhochschule angesiedelt.

"AI Act" tritt in Kraft

Dieser Text ist Teil einer kurzen Serie von Gastbeiträgen, die den "AI Act" der EU aus unterschiedlichen Perspektiven betrachten.
Lesen Sie auch:
  • KI-Verordnung der EU – Schweiz unter Zugzwang?
  • AI Act der EU: Schweizer Firmen sind gefordert


Loading

Mehr erfahren

Mehr zum Thema

image

Centerboard liefert neue Admin-Software für Berufsschulen

Die für die Softwareentwicklung für Berufsbildende Schulen zuständige Genossenschaft SEBBS hat eine Nachfolgelösung für ihre veraltete Lösung gesucht.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Zürcher Piraten fordern mit Volksinitiative "digitale Integrität"

Die Piratenpartei hat für ihre Initiative "für ein Grundrecht auf digitale Integrität" 9000 Unterschriften gesammelt. Ein ähnlicher Vorstoss in Genf wurde sehr deutlich angenommen.

publiziert am 19.8.2024
image

Thurgauer Technologie-Forscher erhält Auszeichnung

Tobias Mettler beschäftigt sich mit der Adaption von neuen Technologien. Für seine Forschung zur vernetzten Arbeitsplatzüberwachung wurde er mit dem Forschungspreis Walter Enggist ausgezeichnet.

publiziert am 19.8.2024